ईएसईटी: ओशनलोटस साइबरग्रुप बैकडोर के लिए नई डिलीवरी योजनाएं

पोस्ट में, हम आपको बताएंगे कि ओशनलोटस साइबरग्रुप (APT32 और APT-C-00) ने हाल ही में सार्वजनिक रूप से उपलब्ध कारनामों में से एक का उपयोग कैसे किया CVE-2017-11882, Microsoft Office में स्मृति भ्रष्टाचार भेद्यताएँ, और कैसे समूह के मैलवेयर निशान छोड़े बिना समझौता किए गए सिस्टम पर दृढ़ता सुनिश्चित करते हैं। अगला, हम वर्णन करते हैं कि कैसे, 2019 की शुरुआत के बाद से, समूह कोड चलाने के लिए स्व-निष्कर्षण अभिलेखागार का उपयोग कर रहा है।

ओशनलोटस साइबर जासूसी में माहिर है, प्राथमिक लक्ष्य दक्षिण पूर्व एशिया के देश हैं। हमलावर ऐसे दस्तावेज बनाते हैं जो संभावित पीड़ितों का ध्यान आकर्षित करते हैं ताकि उन्हें पिछले दरवाजे से बाहर ले जाने के लिए राजी किया जा सके और उपकरणों के विकास पर भी काम किया जा सके। हनीपॉट बनाने के लिए इस्तेमाल की जाने वाली विधियाँ अलग-अलग हमलों में अलग-अलग होती हैं - "डबल एक्सटेंशन" फाइलों से लेकर, सेल्फ-एक्सट्रैक्टिंग आर्काइव्स, मैक्रो डॉक्यूमेंट्स, जाने-माने कारनामों तक।

Microsoft समीकरण संपादक में शोषण का उपयोग करना

2018 के मध्य में, OceanLotus ने CVE-2017-11882 भेद्यता का फायदा उठाते हुए एक अभियान चलाया। साइबर समूह के दुर्भावनापूर्ण दस्तावेजों में से एक का विश्लेषण थ्रेट इंटेलिजेंस सेंटर के 360 विशेषज्ञों द्वारा किया गया था (चीनी में अध्ययन), शोषण का विस्तृत विवरण सहित। नीचे दी गई पोस्ट ऐसे दुर्भावनापूर्ण दस्तावेज़ का अवलोकन है।

पहले चरण

दस्तावेज़ FW Report on demonstration of former CNRP in Republic of Korea.doc (एसएचए-1: D1357B284C951470066AAA7A8228190B88A5C7C3) उपरोक्त अध्ययन में उल्लिखित के समान है। यह दिलचस्प है कि यह उन उपयोगकर्ताओं के लिए लक्षित है जो कंबोडियन राजनीति में रूचि रखते हैं (सीएनआरपी - कंबोडिया नेशनल साल्वेशन पार्टी, 2017 के अंत में भंग)। .doc एक्सटेंशन के बावजूद, दस्तावेज़ RTF प्रारूप में है (नीचे चित्र देखें), इसमें जंक कोड है, और यह विकृत भी है।

चित्रा 1. आरटीएफ में कचरा

विकृत तत्वों की उपस्थिति के बावजूद, Word इस RTF फ़ाइल को सफलतापूर्वक खोलता है। जैसा कि आप चित्र 2 में देख सकते हैं, यहाँ ऑफ़सेट 0xC00 पर एक EQNOLEFILEHDR संरचना है जिसके बाद एक MTEF हेडर और फिर फ़ॉन्ट के लिए एक MTEF प्रविष्टि (चित्र 3) है।

चित्र 2. फ़ॉन्ट रिकॉर्ड मान

चित्रा 3. फ़ॉन्ट रिकॉर्डिंग प्रारूप

संभावित क्षेत्र अतिप्रवाह नाम, क्योंकि कॉपी करने से पहले इसका साइज चेक नहीं किया जाता है। बहुत लंबा नाम भेद्यता को ट्रिगर करता है। जैसा कि आप RTF फ़ाइल (चित्र 0 में ऑफ़सेट 26xC2) की सामग्री से देख सकते हैं, बफर शेलकोड से भरा हुआ है और उसके बाद एक डमी कमांड (0x90) और वापसी का पता 0x402114. पता एक संवाद तत्व है EQNEDT32.exeनिर्देशों की ओर इशारा करते हुए RET. यह ईआईपी को क्षेत्र की शुरुआत की ओर इशारा करता है नामशेलकोड युक्त।

चित्र 4. शोषण शेलकोड की शुरुआत

पता 0x45BD3C एक चर को संग्रहीत करता है जिसे तब तक संदर्भित किया जाता है जब तक कि यह वर्तमान में लोड की गई संरचना के सूचक तक नहीं पहुंचता MTEFData. यहाँ शेष शेलकोड है।

शेलकोड का उद्देश्य खुले दस्तावेज़ में एम्बेड किए गए शेलकोड के दूसरे भाग को निष्पादित करना है। सबसे पहले, मूल शेलकोड सभी सिस्टम डिस्क्रिप्टर पर पुनरावृति करके खुले दस्तावेज़ के फाइल डिस्क्रिप्टर को खोजने की कोशिश करता है (NtQuerySystemInformation एक तर्क के साथ SystemExtendedHandleInformation) और जाँच करें कि क्या वे मेल खाते हैं पीआईडी वर्णनकर्ता और पीआईडी प्रक्रिया WinWord और क्या दस्तावेज़ को एक्सेस मास्क के साथ खोला गया था - 0x12019F.

यह पुष्टि करने के लिए कि सही हैंडल पाया गया (और किसी अन्य खुले दस्तावेज़ का हैंडल नहीं), फ़ंक्शन का उपयोग करके फ़ाइल की सामग्री प्रदर्शित की जाती है CreateFileMapping, और शेलकोड जाँचता है कि क्या दस्तावेज़ के अंतिम चार बाइट्स मेल खाते हैं "yyyy»(अंडा शिकार विधि)। मेल मिलने के बाद, दस्तावेज़ को एक अस्थायी फ़ोल्डर में कॉपी किया जाता है (GetTempPath) कैसे ole.dll. फिर दस्तावेज़ के अंतिम 12 बाइट पढ़े जाते हैं।

चित्र 5. अंत-दस्तावेज़ मार्कर

मार्करों के बीच 32-बिट मान AABBCCDD и yyyy अगले शेलकोड का ऑफ़सेट है। इसे एक फंक्शन के साथ कहा जाता है CreateThread. ओशनलोटस समूह द्वारा पहले उपयोग किए गए समान शेलकोड को निकाला गया। पायथन एमुलेशन स्क्रिप्ट, जिसे हमने मार्च 2018 में रिलीज़ किया था, अभी भी दूसरे चरण के डंप के लिए चल रहा है।

दूसरे चरण

अवयव निकालना

फ़ाइल और निर्देशिका नाम गतिशील रूप से चुने जाते हैं। कोड यादृच्छिक रूप से निष्पादन योग्य या डीएलएल फ़ाइल का नाम चुनता है C:Windowssystem32. इसके बाद यह अपने संसाधनों के लिए अनुरोध करता है और क्षेत्र को पुनः प्राप्त करता है FileDescription फ़ोल्डर नाम के रूप में उपयोग करने के लिए। यदि वह काम नहीं करता है, तो कोड बेतरतीब ढंग से निर्देशिकाओं से एक फ़ोल्डर नाम का चयन करता है %ProgramFiles% या C:Windows (GetWindowsDirectoryW से)। यह एक ऐसे नाम का उपयोग करने से बचता है जो मौजूदा फ़ाइलों के साथ संघर्ष कर सकता है और यह सुनिश्चित करता है कि इसमें निम्नलिखित शब्द न हों: windows, Microsoft, desktop, system, system32 या syswow64. यदि निर्देशिका पहले से मौजूद है, तो नाम के साथ "NLS_{6 अक्षर}" जोड़ा जाता है।

संसाधन 0x102 पार्स किया गया और फ़ाइलें डंप की गईं %ProgramFiles% या %AppData%यादृच्छिक रूप से चुने गए फ़ोल्डर में। निर्माण समय को समान मान रखने के लिए बदल दिया गया kernel32.dll.

उदाहरण के लिए, निष्पादन योग्य का चयन करके बनाई गई फ़ोल्डर और फ़ाइलों की सूची यहां दी गई है C:Windowssystem32TCPSVCS.exe डेटा स्रोत के रूप में।

चित्रा 6. विभिन्न घटकों का निष्कर्षण

संसाधन संरचना 0x102 ड्रॉपर में काफी जटिल है। संक्षेप में, इसमें शामिल हैं:
- फ़ाइल नाम
- फ़ाइल का आकार और सामग्री
- संपीड़न प्रारूप (COMPRESSION_FORMAT_LZNT1समारोह द्वारा प्रयोग किया जाता है RtlDecompressBuffer)

पहली फ़ाइल के रूप में डंप किया गया है TCPSVCS.exe, जो जायज है AcroTranscoder.exe (के अनुसार FileDescription, एसएचए-1: 2896738693A8F36CC7AD83EF1FA46F82F32BE5A3).

आपने देखा होगा कि कुछ DLL फाइलें 11MB से बड़ी होती हैं। ऐसा इसलिए है क्योंकि यादृच्छिक डेटा का एक बड़ा सन्निहित बफर निष्पादन योग्य के अंदर रखा गया है। यह संभव है कि यह कुछ सुरक्षा उत्पादों द्वारा पहचान से बचने का एक तरीका हो।

दृढ़ता सुनिश्चित करना

संसाधन 0x101 ड्रॉपर में दो 32-बिट पूर्णांक होते हैं जो निर्दिष्ट करते हैं कि दृढ़ता को कैसे लागू किया जाना चाहिए। पहले का मान निर्दिष्ट करता है कि व्यवस्थापक अधिकारों के बिना मैलवेयर कैसे बना रहेगा।

तालिका 1. गैर-प्रशासक दृढ़ता तंत्र

दूसरे पूर्णांक का मान निर्दिष्ट करता है कि कैसे मैलवेयर को व्यवस्थापकीय विशेषाधिकारों के साथ चलकर निरंतरता सुनिश्चित करनी चाहिए.

तालिका 2. प्रशासक दृढ़ता तंत्र

सेवा का नाम एक्सटेंशन के बिना फ़ाइल का नाम है; प्रदर्शन नाम फ़ोल्डर का नाम है, लेकिन यदि यह पहले से मौजूद है, तो स्ट्रिंग "Revision 1” (अप्रयुक्त नाम मिलने तक संख्या बढ़ जाती है)। ऑपरेटरों ने ध्यान रखा है कि सेवा के माध्यम से दृढ़ता लचीला है - विफलता के मामले में, सेवा को 1 सेकंड के बाद पुनरारंभ करना होगा। फिर मान WOW64 सेवा के लिए नई रजिस्ट्री कुंजी 4 पर सेट है, यह दर्शाता है कि यह 32-बिट सेवा है।

कई COM इंटरफेस के माध्यम से एक निर्धारित कार्य बनाया जाता है: ITaskScheduler, ITask, ITaskTrigger, IPersistFile и ITaskScheduler. अनिवार्य रूप से, मैलवेयर एक छिपा हुआ कार्य बनाता है, खाता जानकारी को वर्तमान उपयोगकर्ता या व्यवस्थापक जानकारी के साथ सेट करता है और फिर ट्रिगर सेट करता है।

यह 24 घंटे की अवधि और 10 मिनट के दो रन के बीच के अंतराल के साथ एक दैनिक कार्य है, जिसका अर्थ है कि यह लगातार चलता रहेगा।

दुर्भावनापूर्ण बिट

हमारे उदाहरण में, निष्पादन योग्य TCPSVCS.exe (AcroTranscoder.exe) वैध सॉफ़्टवेयर है जो इसके साथ छोड़े गए DLL को लोड करता है। इस मामले में, यह रुचि का है Flash Video Extension.dll.

इसका कार्य DLLMain बस दूसरे फंक्शन को कॉल करता है। कुछ अस्पष्ट विधेय हैं:

चित्र 7. फ़ज़ी विधेय

इन भ्रामक जाँचों के बाद, कोड को एक खंड मिलता है .text फ़ाइल TCPSVCS.exe, इसके संरक्षण को बदलता है PAGE_EXECUTE_READWRITE और इसे डमी निर्देशों के साथ अधिलेखित कर देता है:

चित्र 8. निर्देशों का क्रम

समारोह के पते के अंत में FLVCore::Uninitialize(void), निर्यात किया Flash Video Extension.dll, निर्देश जोड़ा गया है CALL. इसका मतलब है कि दुर्भावनापूर्ण DLL लोड होने के बाद, जब रनटाइम कॉल करता है WinMain в TCPSVCS.exe, निर्देश सूचक एनओपी को इंगित करेगा, जिसके परिणामस्वरूप कॉलिंग होगी FLVCore::Uninitialize(void), अगला पड़ाव।

फ़ंक्शन बस एक म्यूटेक्स बनाता है जिसके साथ शुरू होता है {181C8480-A975-411C-AB0A-630DB8B0A221}उसके बाद वर्तमान उपयोगकर्ता नाम। इसके बाद यह डंप की गई *.db3 फ़ाइल को पढ़ता है, जिसमें स्थिति-स्वतंत्र कोड होता है और इसका उपयोग करता है CreateThread सामग्री निष्पादित करने के लिए।

*.db3 फ़ाइल की सामग्री शेलकोड है जिसे OceanLotus टीम आमतौर पर उपयोग करती है। हमने फिर से अपने द्वारा प्रकाशित एमुलेटर स्क्रिप्ट का उपयोग करके इसके पेलोड को सफलतापूर्वक विघटित कर दिया। गीथहब पर.

स्क्रिप्ट अंतिम चरण को पुनः प्राप्त करती है। यह घटक एक पिछला दरवाजा है जिसका हम पहले ही विश्लेषण कर चुके हैं पिछला ओशनलोटस अध्ययन. यह GUID द्वारा निर्धारित किया जा सकता है {A96B020F-0000-466F-A96D-A91BBF8EAC96} बाइनरी फ़ाइल। पीई संसाधन में मैलवेयर कॉन्फ़िगरेशन अभी भी एन्क्रिप्ट किया गया है। इसका लगभग समान कॉन्फ़िगरेशन है, लेकिन C&C सर्वर पिछले वाले से अलग हैं:

- andreagahuvrauvin[.]com
- byronorenstein[.]com
- stienollmache[.]xyz

ओशनलोटस समूह फिर से पता लगाने से बचने के लिए विभिन्न तकनीकों के संयोजन का प्रदर्शन करता है। वे संक्रमण प्रक्रिया की "समाप्त" योजना के साथ लौटे। यादृच्छिक नामों का चयन करके और यादृच्छिक डेटा के साथ निष्पादनयोग्य भरकर, वे विश्वसनीय IoCs (हैश और फ़ाइल नामों के आधार पर) की संख्या को कम करते हैं। इसके अलावा, तीसरे पक्ष के डीएलएल लोडिंग का उपयोग करके, हमलावरों को केवल वैध बाइनरी को हटाने की जरूरत है AcroTranscoder.

स्व-निष्कर्षण अभिलेखागार

आरटीएफ फाइलों के बाद, उपयोगकर्ता को और भ्रमित करने के लिए समूह ने सामान्य दस्तावेज़ आइकन के साथ स्व-निष्कर्षण (एसएफएक्स) अभिलेखागार में स्विच किया। थ्रेटबुक ने इसके बारे में लिखा (चीनी में लिंक). स्टार्टअप पर, सेल्फ-एक्सट्रैक्टिंग RAR फाइलें डंप की जाती हैं और .ocx एक्सटेंशन वाले DLL को निष्पादित किया जाता है, जिसका अंतिम पेलोड पहले प्रलेखित किया गया था {A96B020F-0000-466F-A96D-A91BBF8EAC96}.dll. जनवरी 2019 के मध्य से, OceanLotus इस तकनीक का पुन: उपयोग कर रहा है, लेकिन समय के साथ कुछ कॉन्फ़िगरेशन बदल रहा है। इस खंड में हम तकनीक और परिवर्तनों के बारे में बात करेंगे।

एक लालच बनाना

दस्तावेज़ THICH-THONG-LAC-HANH-THAP-THIEN-VIET-NAM (1).EXE (एसएचए-1: AC10F5B1D5ECAB22B7B418D6E98FA18E32BBDEAB) पहली बार 2018 में मिला था। यह SFX फ़ाइल दिमाग से बनाई गई थी - विवरण में (संस्करण की जानकारी) कहता है कि यह JPEG छवि है। एसएफएक्स स्क्रिप्ट इस तरह दिखती है:

चित्रा 9. एसएफएक्स कमांड

मैलवेयर रीसेट करता है {9ec60ada-a200-4159-b310-8071892ed0c3}.ocx (एसएचए-1: EFAC23B0E6395B1178BCF7086F72344B24C04DCC), साथ ही एक तस्वीर 2018 thich thong lac.jpg.

नकली छवि इस तरह दिखती है:

चित्रा 10. डिकॉय छवि

आपने देखा होगा कि SFX स्क्रिप्ट की पहली दो पंक्तियाँ OCX फ़ाइल को दो बार कॉल करती हैं, लेकिन यह कोई त्रुटि नहीं है।

{9ec60ada-a200-4159-b310-8071892ed0c3}.ocx (ShLd.dll)

OCX फ़ाइल का नियंत्रण प्रवाह अन्य OceanLotus घटकों के समान है - कई कमांड क्रम JZ/JNZ и PUSH/RETजंक कोड के साथ इंटरलीव किया गया।

चित्र 11. अस्पष्ट कोड

कचरा कोड को फ़िल्टर करने के बाद, Export DllRegisterServer, बुलाया regsvr32.exe, इस तरह दिखता है:

चित्र 12. मुख्य इंस्टॉलर कोड

मूल रूप से, पहली बार जब आप कॉल करते हैं DllRegisterServer निर्यात रजिस्ट्री मान सेट करता है HKCUSOFTWAREClassesCLSID{E08A0F4B-1F65-4D4D-9A09-BD4625B9C5A1}Model डीएलएल में एन्क्रिप्टेड ऑफ़सेट के लिए (0x10001DE0).

जब फ़ंक्शन को दूसरी बार कॉल किया जाता है, तो यह उसी मान को पढ़ता है और उस पते पर निष्पादित होता है। यहां से, संसाधन को पढ़ा और निष्पादित किया जाता है, और रैम में कई क्रियाएं की जाती हैं।

शेलकोड वही पीई लोडर है जिसका उपयोग पिछले ओशनलोटस अभियानों में किया गया था। से अनुकरण किया जा सकता है हमारी स्क्रिप्ट. अंत में वह गिर जाता है db293b825dcc419ba7dc2c49fa2757ee.dll, इसे मेमोरी में लोड करता है और निष्पादित करता है DllEntry.

DLL अपने संसाधन की सामग्री को निकालता है, डिक्रिप्ट करता है (AES-256-CBC) और डीकंप्रेस (LZMA) करता है। संसाधन का एक विशिष्ट प्रारूप है जो डीकंपाइल करना आसान है।

चित्र 13. इंस्टॉलर कॉन्फ़िगरेशन संरचना (KaitaiStruct Visualizer)

कॉन्फ़िगरेशन स्पष्ट रूप से सेट है - विशेषाधिकार स्तर के आधार पर, बाइनरी डेटा को लिखा जाएगा %appdata%IntellogsBackgroundUploadTask.cpl या %windir%System32BackgroundUploadTask.cpl (या SysWOW64 64-बिट सिस्टम के लिए)।

नाम का कार्य बनाकर आगे की दृढ़ता सुनिश्चित की जाती है BackgroundUploadTask[junk].jobजहां [junk] बाइट्स का एक सेट है 0x9D и 0xA0.

कार्य आवेदन का नाम %windir%System32control.exe, और पैरामीटर का मान डाउनलोड की गई बाइनरी फ़ाइल का पथ है। छिपा हुआ कार्य हर दिन चलता है।

संरचनात्मक रूप से, एक सीपीएल फ़ाइल एक आंतरिक नाम वाला एक डीएलएल है ac8e06de0a6c4483af9837d96504127e.dll, जो फ़ंक्शन निर्यात करता है CPlApplet. यह फ़ाइल अपने एकमात्र संसाधन को डिक्रिप्ट करती है {A96B020F-0000-466F-A96D-A91BBF8EAC96}.dll, फिर उस DLL को लोड करता है और उसके एकमात्र निर्यात को कॉल करता है DllEntry.

बैकडोर कॉन्फ़िगरेशन फ़ाइल

बैकडोर कॉन्फ़िगरेशन एन्क्रिप्ट किया गया है और इसके संसाधनों में एम्बेड किया गया है। कॉन्फ़िगरेशन फ़ाइल की संरचना पिछले वाले के समान ही है।

चित्र 14. बैकडोर कॉन्फ़िगरेशन संरचना (KaitaiStruct Visualizer)

समान संरचना के बावजूद, कई क्षेत्रों के मूल्यों को दिखाए गए डेटा की तुलना में अद्यतन किया गया है हमारी पुरानी रिपोर्ट.

बाइनरी सरणी के पहले तत्व में DLL (HttpProv.dll MD5: 2559738D1BD4A999126F900C7357B759), Tencent द्वारा पहचाना गया. लेकिन चूंकि निर्यात का नाम बाइनरी से हटा दिया गया है, इसलिए हैश मेल नहीं खाते।

अतिरिक्त शोध

नमूने एकत्र करते हुए, हमने कुछ विशेषताओं पर ध्यान दिया। अभी वर्णित नमूना जुलाई 2018 के आसपास दिखाई दिया, और इसी तरह के अन्य नमूने हाल ही में, जनवरी के मध्य में - फरवरी 2019 की शुरुआत में दिखाई दिए। एक वैध डिकॉय दस्तावेज़ और एक दुर्भावनापूर्ण OCX फ़ाइल को छोड़ते हुए एक SFX संग्रह को एक संक्रमण वेक्टर के रूप में उपयोग किया गया था।

भले ही OceanLotus नकली टाइमस्टैम्प का उपयोग करता है, हमने देखा कि SFX और OCX फ़ाइलों के टाइमस्टैम्प हमेशा समान होते हैं (0x57B0C36A (08/14/2016 @ 7:15 अपराह्न UTC) और 0x498BE80F (02/06/2009 @ 7:34 पूर्वाह्न UTC) क्रमशः)। यह शायद इंगित करता है कि लेखकों के पास किसी प्रकार का "निर्माता" है जो समान टेम्पलेट्स का उपयोग करता है और केवल कुछ विशेषताओं को बदलता है।

2018 की शुरुआत से हमने जिन दस्तावेजों का अध्ययन किया है, उनमें विभिन्न नाम हैं जो रुचि के हमलावर देशों को इंगित करते हैं:

- कंबोडिया मीडिया की नई संपर्क जानकारी (नई).xls.exe
- 李建香 (个人简历).exe (सीवी का नकली पीडीएफ दस्तावेज़)
- प्रतिक्रिया, 28-29 जुलाई, 2018.exe से संयुक्त राज्य अमेरिका में रैली

पिछले दरवाजे की खोज के बाद से {A96B020F-0000-466F-A96D-A91BBF8EAC96}.dll और कई शोधकर्ताओं द्वारा इसके विश्लेषण के प्रकाशन के बाद, हमने मैलवेयर कॉन्फ़िगरेशन डेटा में कुछ बदलाव देखे।

सबसे पहले, लेखकों ने सहायक DLL DLL से नाम निकालना शुरू किया (DNSprov.dll और दो संस्करण HttpProv.dll). फिर ऑपरेटरों ने तीसरे डीएलएल (दूसरा संस्करण HttpProv.dll), केवल एक एम्बेड करना चुनना।

दूसरा, कई पिछले दरवाजे कॉन्फ़िगरेशन फ़ील्ड बदल दिए गए हैं, संभवतः पता लगाने से बचने के लिए क्योंकि कई आईओसी उपलब्ध हो गए हैं। लेखकों द्वारा संशोधित महत्वपूर्ण क्षेत्रों में निम्नलिखित हैं:

• परिवर्तित रजिस्ट्री कुंजी AppX (IoCs देखें)
• म्यूटेक्स एन्कोडिंग स्ट्रिंग ("डीईएफ़", "एबीसी", "घी")
• पोर्ट संख्या

अंत में, विश्लेषण किए गए सभी नए संस्करणों में IoCs अनुभाग में सूचीबद्ध नए C&Cs हैं।

निष्कर्ष

ओशनलोटस का विकास जारी है। साइबर समूह उपकरण और लालच को परिष्कृत और विस्तारित करने पर केंद्रित है। लेखक ध्यान आकर्षित करने वाले दस्तावेज़ों के साथ दुर्भावनापूर्ण पेलोड को छिपाते हैं जो अभीष्ट पीड़ितों के लिए प्रासंगिक हैं। वे नए सर्किट विकसित करते हैं और सार्वजनिक रूप से उपलब्ध टूल जैसे समीकरण संपादक शोषण का भी उपयोग करते हैं। इसके अलावा, वे पीड़ितों की मशीनों पर छोड़ी गई कलाकृतियों की संख्या को कम करने के लिए उपकरणों में सुधार कर रहे हैं, जिससे एंटीवायरस सॉफ़्टवेयर द्वारा पता लगाए जाने की संभावना कम हो जाती है।

समझौता के संकेतक

समझौते के संकेतक के साथ-साथ MITER ATT&CK विशेषताएँ उपलब्ध हैं वेलिवसिक्योरिटी पर и गीथहब पर.

स्रोत: www.habr.com